SDBOT: Botnetz-Veteran treibt weiter sein Unwesen

Die Betreiber des Bot-Netzes vermieten dessen Dienste und Download-Fähigkeiten an andere Cyberkriminelle

(22.12.09) - Trend Micro hat in einem aktuellen Forschungspapier Aufbau und Funktionsweise des bereits seit 2004 bekannten Bot-Netzes SDBOT analysiert. Obwohl das Bot-Netz technologisch nicht mehr auf dem neuesten Stand ist, arbeitet es weiterhin äußerst effektiv und macht die befallenen PCs oder Laptops zu Zombierechnern, die von Cyberkriminellen ferngesteuert werden. Der Grund für die anhaltende "Beliebtheit": Gerade weil das Bot-Netz veraltet ist, wird es von der Sicherheitsindustrie weniger scharf beobachtet. Dadurch ist es für Cyberkriminelle als Alternative attraktiv, um darüber ihre Schadsoftware unbemerkt zu verbreiten.

Die Macher und Betreiber des Bot-Netzes SDBOT vermieten dessen Dienste und Download-Fähigkeiten an andere Cyberkriminelle. So bezahlen die kriminellen Autoren von gefälschten Antivirenprogrammen (FAKEAV) die SDBOT-Bande dafür, die FAKEAV-Dateien auf den kontrollierten Rechnern zu installieren. Abgerechnet wird pro erfolgreicher Installation. Dieses so genannte Pay-per-Install-Modell erfreut sich bei Cyberkriminellen wachsender Beliebtheit. SDBOT liefert damit ein anschauliches Beispiel für den mittlerweile erreichten Stand der Vernetzung und Arbeitsteilung in der Untergrundökonomie.

Um sich auch vor in der Öffentlichkeit weniger bekannten Bedrohungen wie SDBOT zu schützen, empfiehlt Trend Micro Anwendern, ihre Sicherheitslösungen auf dem neuesten Stand zu halten, unbekannte E-Mails und Spam-Nachrichten nicht zu öffnen und nicht auf Links zu klicken, die von unbekannten Absendern über Instant Messaging-Applikationen verschickt wurden. Diese Maßnahmen helfen auch gegen andere Botnetze, die wie SDBOT für die Kommunikation das IRC (Internet Relay Chat)-Protokoll nutzen. Dazu zählen AGOBOT, IRCBOT oder RBOT.

(Trend Micro: ra)